Như chúng ta đã đề cập, WDA dựa vào đặc tính của lưu lượng truy cập web hợp pháp để phân biệt so với giao thông tấn công, do đó suy giảm băng thông DDoS. Để làm như vậy, chúng ta cần một sự hiểu biết về các mô hình mẫu trong lưu lượng uplink Web.
Các mẫu lưu lượng giao thông web được tạo ra bởi một sự kết hợp của cấu trúc các trang web, thực hiện trình duyệt Web và hành động của người sử dụng. Một trang web cổ điển bao gồm một tập tin HTML với các liên kết đến một số đối tượng web khác, cùng nhau tạo nên một trang web hoàn chỉnh. Các đối tượng Web có thể được phân loại thành hai loại: đối tượng chính và đối tượng in-line. Các tài liệu HTML là đối tượng chính (thường mỗi đối tượng trên một trang), và các đối tượng liên quan với nó (style sheet, hình ảnh, video, v.v.) là đối tượng in-line (nhiều đối tượng mỗi trang).
Sự tương tác của con người tạo ra một đặc tính cơ bản của lưu lượng web đó là tính chất ON-OFF. Giai đoạn HTTP OFF đại diện cho thời gian suy nghĩ hay thời gian xem trang web của con người tải các trang web. Giai đoạn HTTP ON đại diện cho tổng thời gian người dùng tương tác dữ liệu với tải trang web: tải trang, upload file lên trang web. Giai đoạn HTTP ON kết thúc sau khi người dùng hoàn thành tương tác dữ liệu với trang web: các đối tượng cuối cùng trong trang web được tải xong, đối tượng cuối cùng người dùng upload lên trang web thành công. Giai đoạn HTTP ON và HTTP OFF cùng nhau tạo nên một Web Session.
Bây giờ các tác giả mô tả chi tiết hơn cách HTTP hoạt động trên một kết nối TCP pipelined (như HTTP 1.1 [25]). Web bắt đầu với một session TCP bắt tay 3 bước gửi từ client về phía server. Giai đoạn HTTP ON bắt đầu khi trình duyệt Web của client gửi một yêu cầu HTTP GET để lấy về đối tượng chính của trang. Thông qua kết nối mở client truyền đi lệnh HTTP GET, và nhận được một gói TCP ACK. Server Web tạo ra một đáp ứng HTTP (trên liên kết tải xuống) với các đối tượng chính. Trình duyệt Web của client sau đó xử lý các đối tượng chính, và tạo ra thêm đường pipelined yêu cầu HTTP GET cho từng đối tượng in-line, thông qua cùng một kết nối TCP (hoặc mở nhiều kết nối TCP đồng thời để giảm thời gian load trang). Server trả lời bằng cách truyền nhiều đối tượng in-line khác nhau, trong khi client gửi ACK TCP cho tất cả các gói của lưu lượng tải về cho tất cả các đối tượng này.
Lưu ý rằng HTTP Response thường đòi hỏi nhiều gói tin IP, vì vậy client sẽ truyền nhiều TCP ACK trong quá trình tiếp nhận đối tượng in-line. Hơn nữa, trình duyệt hiện đại truyền một TCP ACK sau khi tiếp nhận thành công hai gói tin IP (RFC 1122) [26].